我计划检查我的网站是否存在所有常见的安全漏洞,如跨站点脚本、sql 注入等。有人可以告诉我是否有任何自动化工具可以为我的 .net Web 应用程序运行并发现所有安全漏洞存在。我试过 CAt.net 但它不支持大型应用程序。我看到了 abt owsap,但它也不是自动化的。我正在寻找可以告诉我文件名和方法名等的东西。
【问题讨论】:
标签: .net security web-applications penetration-testing
有一些免费工具可用于自动发现漏洞。
Skipfish - 开源自动化 Web 应用程序扫描器 http://code.google.com/p/skipfish/ 积极开发和维护
GrendelScan - 开源自动化 Web 应用程序扫描仪 http://grendel-scan.com/
Netsparker 社区版 http://www.mavitunasecurity.com/communityedition/ 免费、有限的 Netsparker 版本
老鼠代理 执行漏洞发现的非拦截代理 http://code.google.com/p/ratproxy/
这里有一些可以帮助您入门。
最好的方法是执行手动测试,并使用自动化测试来覆盖“唾手可得”的场景。
【讨论】:
CAT.NET 很有帮助,但仅当作为大型应用程序的命令行运行时。使用 Visual Studio 插件,我也无法让它在大型项目上运行。
【讨论】: